UC官网设为首页收藏本站
[讨论交流]

病毒新套路,说不定你已经中招!

[复制链接]
产品小哥Vampire UC产品经理 发表于 2016年12月16日 11:18 最后回复 2017年2月5日 15:04
430907 30
本帖最后由 产品小哥Vampire 于 2016年12月16日 15:03 编辑

                              UC联合火绒,揪出“百度劫持”幕后黑手
    最近,很多U星人跟我们反馈百度网页打不开问题,作为浏览器的我们也束手无策,在几经周折后,我们选择求助于火绒安全,在经过1周多的病毒分析后,火绒安全团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,强力对抗安全软件,并攻破了业界普遍信赖的HTTPS加密通信协议,让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。除此之外,在用户机器上,并不排除该木马病毒具有盗号“劫持根证书”等其他效用。
根据UC用户的求助,火绒团队截获一个新病毒,该病毒通过网络过滤驱动,劫持百度搜索流量牟利,劫持手法十分暴力,致使UC、360、搜狗等几乎所有知名浏览器都无法正常访问百度。根据用户现场调查,并借助“火绒终端威胁情报系统”追踪源头,我们发现该病毒是由一个名为“净广大师”的广告拦截软件携带和释放的。
这是火绒团队截获的首个突破HTTPS协议劫持流量的恶性病毒,而在其官网上我们看到,该软件竟然通过了国内外多家安全厂商的认证,如下图红框中所示:
1.png
就是这样一个各大杀软过白的“清白软件”,背地里却肆无忌惮的在用户机器上种植木马病毒,实在可恨,“净广大师”软件安装后,会释放一个名为rtdxftex.sys的驱动程序,该驱动程序具有很强的内核级对抗能力。被感染之初,用户不会感觉到任何异样,但该病毒驱动文件名会随着重启不断变换,以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载,该病毒功能依然会随机激活,劫持用户的搜索流量。
更重要的是,该病毒竟然突破了互联网行业普遍信赖的HTTPS加密通信协议,轻松劫持基于HTTPS的百度搜索的流量:
2.png

病毒劫持百度搜索页面
该病毒被激活后,会检测访问百度搜索的计费ID,如果非病毒自身的计费ID则无法正常访问百度搜索,使得所有浏览器只能访问带有病毒计费ID的百度搜索页面。如下图所示:
3.png
非病毒计费号访问百度展示图



4.png

该病毒除网络过滤外,还通过文件过滤驱动阻止其他程序对其驱动文件进行访问,在打开该驱动文件信息时无法得到该文件的完整信息。如下图所示:
5.png
           图2、病毒驱动信息(左为病毒加载后截图、右为实际文件信息)
6.png
          图3、病毒签名信息
最后,UC浏览器善意提醒广大用户,只“火绒安全软件”可以有效清理木马,请广大用户尽快安装“火绒安全软件”拦截、查杀该病毒,如果怀疑电脑已经被感染,则先下载使用火绒专杀工具,彻底清除病毒驱动程序。
火绒安全团队将继续追踪查杀该病毒可能出现的变种,如果您的浏览器有被该病毒感染的症状(各种浏览器都失效),请到火绒论坛反馈情况。
7.png
“火绒安全软件“”下载地址:http://www.huorong.cn/downv4.html
“火绒恶性木马专杀工具”下载地址:https://down5.huorong.cn/hrkill.exe


上UC,有快感!
该帖共收到 30 条回复!
UC小班 | 发表于 2016年12月17日 11:22 | 显示全部楼层
所以哪个是真的
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 13:46 | 显示全部楼层
净广大师我不知道,不过装了火绒之后百度还是那样!
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 13:57 | 显示全部楼层
还好没装什么净广大师
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 15:15 | 显示全部楼层
表示早上刚下的火绒,查杀病毒之后就卸载了并没有2楼说的那些无法卸载的问题。
上UC,有快感!
回复 |

使用道具 举报

UC大班 | 发表于 2016年12月17日 16:30 | 显示全部楼层
本帖最后由 MiGSGof 于 2016年12月17日 16:55 编辑

赞同,火绒并没有出现无法卸载的问题,并且,火绒还解决了我ie主页被篡改的问题,管家可没帮我解决掉。补充,火绒越做越好了,uc越来越垃圾了,还有,百度一下“净广大师”就知道结果了
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 16:37 | 显示全部楼层
wjw享人生 发表于 2016年12月17日 11:22
关于“火绒”恶意报毒的说明
12月16日 16:04
关于“火绒”恶意报毒的说明

垃 圾,我用火绒这么长时间,从来没有开机自启,也没有安装什么手机助手,我用的拦截广告的软件叫ADsafe,但用adsafe的时候有时候会连接不上网,还撒谎?
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 20:09 | 显示全部楼层
火绒我去你妈,,骗子,,火绒有木马病毒,,还有那啥驱动程序,,不信自己安装完,,用电脑管家全盘杀毒看看
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 22:43 | 显示全部楼层
盐不及泪 发表于 2016年12月17日 20:09
火绒我去你妈,,骗子,,火绒有木马病毒,,还有那啥驱动程序,,不信自己安装完,,用电脑管家全盘杀毒看 ...

五毛到手还不是美滋滋
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月17日 23:58 | 显示全部楼层
其载体命名为“净广大师”,也可能不是净广大师的问题,搞不好也是受害者,被掉包了
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月18日 00:08 | 显示全部楼层
既不下净广也不用火绒
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月18日 12:33 | 显示全部楼层
最近电脑流量经常被劫持,但是使用杀毒软件检测不到病毒,怎么解决,电脑比之前卡多了!
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月18日 14:48 | 显示全部楼层
本帖最后由 雪碧酷儿 于 2016年12月20日 16:06 编辑
总在无意间 发表于 2016年12月17日 16:37
垃 圾,我用火绒这么长时间,从来没有开机自启,也没有安装什么手机助手,我用的拦截广告的软件叫ADsafe, ...

ADsafe我一直在用,这个软件叫“净大师”....不是这里说的“净广大师”净网大师这软件从出道以来一直很良心啊,我怀疑后者是故意起这么一个相似的名混淆视听的    这段是写给一些眼神不好的人看的:意思是有两个软件!一个叫净网大师(ADsafe)!一个叫净广大师(AD_Anti)!前者是老软件了,我一直在用也没发现什么不妥!后者则是本帖的嫌疑软件!

上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月19日 19:11 | 显示全部楼层
雪碧酷儿 发表于 2016年12月18日 14:48
ADsafe我一直在用,这个软件叫“净网大师”....不是这里说的“净广大师”净网大师这软件从出道以来 ...

百度一下净广大师看下么
上UC,有快感!
回复 |

使用道具 举报

UC小班 | 发表于 2016年12月20日 15:58 | 显示全部楼层
本帖最后由 雪碧酷儿 于 2016年12月20日 16:54 编辑

上UC,有快感!
回复 |

使用道具 举报

123下一页
您需要登录后才可以回帖 登录 | 注册

本版积分规则 允许回帖同步到新浪微博